O grupo norte-coreano Lazarus iniciou uma nova campanha de espionagem cibernética voltada a organizações dos setores aeroespacial e de defesa, utilizando documentos do Word maliciosos como vetor inicial. A operação é baseada em uma versão atualizada do backdoor Comebacker e tem sido observada em atividade desde março de 2025.
A campanha usa e-mails de phishing altamente direcionados, com documentos disfarçados de comunicações legítimas de entidades conhecidas como a Airbus, o Edge Group e o Instituto Indiano de Tecnologia de Kanpur (IIT Kanpur). Os arquivos carregam armadilhas do tipo spear phishing, com foco específico em alvos selecionados, evitando abordagens em massa. Os documentos hospedados no domínio malicioso office-theme[.]com ativam uma cadeia de infecção em várias etapas. O malware escreve componentes em diretórios do sistema e cria atalhos em pastas de inicialização para manter persistência. As próximas etapas são executadas diretamente na memória e utilizam a cifra ChaCha20 para descriptografar módulos adicionais, elevando o nível de sigilo da operação.
Diferente das variantes anteriores, que transmitiam dados em texto simples, essa nova versão do Comebacker usa AES-128-CBC para criptografar toda a comunicação com os servidores de comando e controle (C2), tornando a detecção por análise de tráfego de rede muito mais difícil. A comunicação com os servidores ocorre via HTTPS, com parâmetros aleatórios e identificadores codificados em base64. Após a resposta do servidor, o malware pode executar comandos como término de processos, ciclos de espera com tentativas de reconexão, ou o download e execução de novas cargas. Foi identificado um segundo domínio de C2 ativo (birancearea[.]com) com amostras do malware detectadas já em março de 2025.
